Documentos de Académico
Documentos de Profesional
Documentos de Cultura
de la información
en los servicios financieros:
Lo que los miembros de
junta necesitan saber – y
hacer
Los riesgos de la tecnología de la información en los servicios financieros: Lo que los miembros de junta necesitan saber – y hacer 2
En las compañías de servicios financieros las responsabilidades de la Junta relacionadas con el riesgo
se han intensificado, con el riesgo de la tecnología de la información (TI) volviéndose crecientemente
crítico. Aun así, el riesgo de TI puede ser el riesgo que el miembro típico de la junta de servicios
financieros pueda ser el que menos esté preparado para vigilarlo. Después de todo, pocos directores son
escogidos por su experticia el TI, y de alguna manera muchos piensan de manera estrecha acerca del
riesgo de TI – esto es, en términos de ataques cibernéticos y disponibilidad del sistema – cuando de
hecho los riesgos de TI permean la compañía.
Considere que en el corazón de una institución financiera radica, en esencia, una compañía de
tecnología. La tecnología permite virtualmente cada actividad en los servicios financieros y consume una
porción enorme de las inversiones de capital y de los gastos operacionales. El desempeño de la
institución financiera depende de la confiabilidad y seguridad de su tecnología. La caída del sistema
puede maniatar a la institución y a sus clientes. El negocio se basa en datos exactos y oportunos. El
panorama cambiante de la tecnología requiere que las instituciones tomen decisiones estratégicas sobre
cuáles tecnologías adoptar, y cuáles evitar. Los controles débiles en la tecnología pueden llevar a
errores de procesamiento o a transacciones no autorizadas. Y los reguladores en todo el mundo
continúan centrándose no solo en la seguridad y la solidez sino también en el cumplimiento con las leyes
y regulaciones específicas del país.
Las juntas son responsables por vigilar el riesgo de TI así como también los otros riesgos. En últimas, la
administración y el gobierno efectivos del riesgo de TI dependen tanto del equipo ejecutivo senior, que
incluye al director de información jefe [chief information officer (CIO)], al director de riesgos jefe [chief risk
officer (CRO)] y al director de tecnología jefe [chief technology officer (CTO)], así como también al
conjunto amplio de administradores responsables en toda la compañía. Todos los líderes de la
organización financiera tienen que entender al riesgo de TI y las palancas disponibles para asegurar que
esté siendo abordado de la manera adecuada. Este documento resalta riesgos de TI seleccionados para
que las juntas de las instituciones financieras los consideren, y sugiere estrategias que pueden emplear
para vigilarlos de mejor manera.
Los riesgos de la tecnología de la información en los servicios financieros: Lo que los miembros de junta necesitan saber – y hacer 3
La junta y el riesgo de TI
Los riesgos de la tecnología de la información en los servicios financieros: Lo que los miembros de junta necesitan saber – y hacer 4
Estructura de la administración del riesgo de
TI, de Deloitte
Un buen punto de partida para la junta es entender la estructura que la administración usa para administrar al
riesgo de TI. Si bien las estructuras varían de institución a institución, una que sea efectiva ayuda a orientar un
modelo de operación práctico y consistente a través de todos los dominios de TI para identificar, administrar, y
abordar los riesgos. Como ejemplo, en la Exhibición 1 se muestra la estructura, de Deloitte, para la
administración del riesgo de TI.
Esta estructura describe – a lo largo del nivel superior – los orientadores clave y los objetivos de la TI en los
servicios financieros: facilitar el crecimiento del negocio, lograr innovación y agilidad tecnológica, promover la
reducción del costo, respaldar al cliente y al centro de atención puesto en el cliente, y solidificar la administración
efectiva del riesgo y el cumplimiento.
El siguiente nivel ilustra los seis componentes del modelo de operación requeridos para respaldar la
administración del riesgo de TI a través de la compañía: gobierno y vigilancia, políticas y estándares, procesos
de administración, herramientas y tecnología, métricas del riesgo y presentación de reportes sobre el riesgo, y
cultura de riesgo.
El nivel inferior identifica los dominios típicos de la administración del riesgo, tales como estrategia de TI,
administración de datos, y entrega de servicio y operaciones. Si bien los nombres o la configuración de esos
dominios pueden variar de compañía a compañía, son típicos de las actividades requeridas para implementar las
capacidades de TI en una organización.
Los riesgos de TI pueden surgir de cualquier nivel dentro de la estructura. Primero, los riesgos pueden surgir de
las prioridades que compiten entre los objetivos de lograr crecimiento del negocio, reducir costos, respaldar el
centro de atención puesto en el cliente, y similares. Segundo, los riesgos de TI pueden persistir dentro de o ser
amplificados por un modelo inadecuado de operación de la administración del riesgo, i.e., inefectivos gobierno y
vigilancia, políticas y estándares, procesos de administración, herramientas y tecnología, métricas del riesgo, o
cultura del riesgo. Tercero, los riesgos pueden surgir de entrega no sólida de cualquiera de los 10 dominios de
administración de la TI aquí descritos, incluyendo estrategia de TI, administración del programa, seguridad
cibernética, y similares.
Exhibición 1
Objetivos de Clientes
negocio Crecimiento del negocio Innovación y agilidad Costo Riesgo y cumplimiento
[Compradores y usuarios]
Componentes MÉTRICAS DEL
del modelo POLÍTICAS Y PROCESOS DE HERRAMIENTAS Y RIESGO Y
GOBIERNO Y VIGILANCIA CULTURA DE RIESGO
operacional ESTÁNDARES ADMINISTRACIÓN TECNOLOGÍA PRESENTACIÓN DE
REPORTES
La estructura Expectativas de la Procesos para Herramientas y Reportes que Tono desde lo alto,
organizacional, los administración administrar los tecnología que identifiquen los claridad sobre el
comités, y los roles y para la riesgos en la Línea 1 respaldan el ciclo de riesgos y el apetito por el riesgo,
responsabilidades por administración de (“tecnología, vida de la desempeño a través entrenamiento y
la administración del la tecnología y del operaciones, y administración del de los dominios de conciencia
riesgo de TI. riesgo de administración del riesgo y la TI; comunicados a apropiados, etc. para
tecnología riesgo”) y la Línea 2 interacción del riesgo los múltiples niveles promover la cultura
(“vigilancia del con los dominios de de la administración. positiva del riesgo
riesgo”) TI
Dominios de Estrategia de TI Administración del Información / Seguridad Entrega del servicio y Administración del
la programa cibernética operaciones Proveedor / Terceros
administración
de la TI Ciclo de vida del Administración de la
Administración de datos Administración financiera Administración del talento
desarrollo de sistemas continuidad del servicio
Los riesgos de la tecnología de la información en los servicios financieros: Lo que los miembros de junta necesitan saber – y hacer 5
Riesgos principales en la tecnología de la
información
1. Riesgo estratégico de TI
Los riesgos de la tecnología de la información en los servicios financieros: Lo que los miembros de junta necesitan saber – y hacer 6
1. Riesgo estratégico de TI
Acoger versus esperar la nueva tecnología: Las instituciones tienen • ¿Cuál es la estrategia de TI de nuestra
que balancear el riesgo de adoptar tecnología nueva contra el de organización, particularmente en lo que se
ignorarla u esperar que las cosas se resuelvan. Las soluciones en la relaciona con respaldar nuestros negocios,
ofertas, y clientes y otros stakeholders?
nube tienen tanto una promesa inmensa como riesgo importante. Las
soluciones de FinTech – un centro de mucha innovación en servicios
financieros – están generando disrupción en el status quo, orientando la • ¿En general, como organización deseamos
competencia incrementada y decisiones importantes sobre ser un innovador en servicios financieros
asociaciones y adopción de tecnología. facilitados por TI o tomar la ruta más
conservadora y ser adoptadores tardíos?
¿Qué necesitamos tener en funcionamiento
Operar versus construir: TI y el negocio tienen que llegar a un acuerdo para administrar los riesgos inherentes en
sobre el portafolio apropiado de inversiones, de manera específica en cada estrategia?
que tanto gastar para “mantener las luces puestas en” versus invertir en
nueva tecnología y capacidades. Gastar excesivamente en • ¿Nosotros monitoreamos el mercado por
mantenimiento puede desplazar oportunidades para adoptar nueva los desarrollos que podrían ofrecer
tecnología y desarrollar nuevas capacidades. oportunidades o riesgos para nuestro
negocio?
Los riesgos de la tecnología de la información en los servicios financieros: Lo que los miembros de junta necesitan saber – y hacer 7
2. Riesgo de seguridad cibernética y respuesta ante incidentes
La respuesta ante el incidente cibernético [Cyber incident response (CIR)] • ¿Para cuáles escenarios cibernéticos tenemos
golpea cuando la seguridad cibernética falla, lo cual casi seguramente se en funcionamiento controles?
dará de tiempo en tiempo. La probabilidad alta de un incidente cibernético
señala que la administración tiene que tener un plan de CIR sólido, bien • ¿Hemos probado nuestro plan de respuesta
probado, listo para ser lanzado cuando se detecte un incidente. Las ante el incidente cibernético?
respuestas deben ser proporcionales al incidente y cubrir protocolos
técnicos, forenses, de comunicación, y de cumplimiento. Las prioridades • ¿Estamos bien ensayados?
pueden incluir asegurar la evidencia digital, restaurar operaciones, y
notificar a la administración senior, a los stakeholders afectados, y quizás, a • ¿Qué inversiones son requeridas para remediar
quienes hacen forzoso el cumplimiento de la ley y a las autoridades y actualizar nuestro entorno de TI heredado?
regulatorias.
Con la tecnología facilitando virtualmente cada actividad en los servicios • ¿Hemos definido nuestros procesos de negocio
financieros, la TI de la organización tiene que tener capacidad de críticos y hemos identificado los activos de
recuperación ante disrupciones y cortes. La organización debe tener tecnología – aplicaciones, infraestructura, y
estándares de capacidad de recuperación de manera que las inversiones terceros – más esenciales para respaldarlos?
en capacidad de recuperación se dirijan a la tecnología que respalde sus
procesos de negocio más críticos. La prueba de la recuperación, • ¿Qué escenarios hemos planeado y probado?
especialmente para la tecnología crítica, tiene que ser rigurosa y tiene que ¿Hemos planeado por cortes de tecnología
verificar que los planes de recuperación funcionarán. extendidos y/o recurrentes?
Las instituciones necesitarán un punto de vista de extremo-a-extremo de • ¿Hemos entendido los puntos de falla
toda la tecnología requerida para respaldar un producto o proceso individuales [single points of failure (SPOFs)] en
particular para validar que todos los componentes se puedan recuperar de nuestro entorno de tecnología?
una disrupción. A veces, las instituciones realizan la prueba de una sola
vez de una aplicación particular de tecnología, más que probar de manera • ¿Hemos experimentado cualesquiera
comprensiva toda la tecnología requerida para respaldar procesos de situaciones en que éramos incapaces de
extremo-a-extremo tales como compensación o liquidación. Finalmente, responder a un corte de tecnología dentro de
las instituciones que para servicios críticos de tecnología confíen en nuestras franjas de tiempo planeadas?
proveedores externos tienen que entender la capacidad de recuperación ¿Nuestros procesos de prueba no identificaron
de esos terceros como si la tecnología fuera propia y operada por la esta debilidad?
institución.
• ¿Qué pasos necesitan darse para reducir el
número y el tiempo medio de los cortes?
Como los acuerdos con vendedores y proveedores de servicio, socios de Preguntas para que la junta plantee:
negocios conjuntos, y otras partes que son terceros proliferan en los
servicios financieros, así también los riesgos. Además, el propio riesgo de • ¿Cuáles son los principales riesgos de TI
tecnología de terceros puede generar riesgos operacionales, financieros, de asociados con proveedores de servicio,
reputación, y otros riesgos para las instituciones que usan sus servicios. El socios de negocio, vendedores, y otros
entendimiento claro de esos riesgos puede ser oscurecido por imperativos terceros de la institución?
de negocio y por el entusiasmo de la relación, por formas estándar de
aseguramiento proporcionadas por vendedores, y por procesos de debida
• ¿Cuáles son nuestros procesos para la
diligencia que consisten en verificar-la-caja.
diligencia debida – y el monitoreo
subsiguiente – de los riesgos de TI de
La institución financiera como un todo tiene que desarrollar e implementar
terceros?
procedimientos adecuados de debida diligencia, contratación, y monitoreo
para todas las partes, incluyendo los proveedores de tecnología contratados
• ¿Tenemos adecuada vigilancia de los
por TI. Debida diligencia tiene que ser realizada sobre la reputación, la
proveedores con relación a sus capacidades
alineación estratégica, la viabilidad financiera, el cumplimiento, y otros
de recuperación?
atributos del tercero.
La administración inefectiva de los datos en una institución financiera Preguntas para que la junta plantee:
puede abrir la puerta al fraude financiero, a problemas de presentación
de reportes de contabilidad y regulatorios, y a pérdida de la confianza de
• ¿Qué tan efectivos son nuestra política y
los stakeholders. Las agencias reguladoras están expresando fuerte
nuestros estándares de administración de los
interés en las capacidades de administración de datos, dado que la
datos?
administración del riesgo y del capital dependen de datos confiables,
exactos, y oportunos. Además, las instituciones financieras de manera
creciente están combinando datos externos con datos internos, • ¿Los elementos críticos de los datos están
adicionando nuevos niveles de complejidad a la administración de los identificados en las aplicaciones clave?
datos y, potencialmente, nuevos riesgos.
• ¿Cómo la calidad de los datos es medida en
Las capacidades rigurosas de administración de los datos recaen en el los servicios clave y en las aplicaciones
gobierno de los datos, la política, y los procedimientos que respaldan la asociadas?
exactitud, confiabilidad, y oportunidad de los datos, y aclaran la
propiedad de los datos, el uso y la alteración. La creación, • ¿Cómo el gobierno de los datos está
transformación, almacenamiento, y disposición controlados de los datos integrado en procesos de TI tales como ciclo
es central al concepto de integridad de los datos. de vida del desarrollo de sistemas, revisiones
de arquitectura, y similares?
Cuando las instituciones retienen datos innecesarios, enfrentan
adicionales costo, complejidad, y riesgo que podrían de que podrían ser
violados. Las instituciones deben tener política y estándares que
respalden la disposición sólida de datos, y aseguramiento de que esa
política está siendo puesta en práctica.
Los riesgos de la tecnología de la información en los servicios financieros: Lo que los miembros de junta necesitan saber – y hacer 9
6. Riesgo de ejecución del programa de TI
La administración necesita centrarse en la administración del cambio, así • ¿Nuestro programa de TI coordina objetivos
como también en los aspectos técnicos del proyecto y minimizar los estratégicos, procesos de negocio, y
supuestos optimistas contenidos en los planes del proyecto. El uso de desarrollo del sistema sobre múltiples franjas
analíticas para identificar y administrar los riesgos, el pronóstico de los de tiempo? ¿Qué tan rigurosos son nuestros
resultados del proyecto, y el identificar las correcciones del curso en la esfuerzos de planeación, comunicación y
medida en que los proyectos avances constituyen el enfoque emergente. control?
Los métodos de toma de decisiones orientada-por-datos pueden
complementar o reemplazar el enfoque orientado-por-la-anécdota que a • ¿Hemos considerado el uso de analíticas
menudo prevalece en la planeación del proyecto. Probar las aguas con un para administrar y coordinar nuestros
proyecto piloto puede revelar cómo las analíticas pueden funcionar y si programas de TI?
implementar ese enfoque en una escala más amplia.
Los riesgos de la tecnología de la información en los servicios financieros: Lo que los miembros de junta necesitan saber – y hacer 10
7. Riesgo de operaciones de tecnología
Para abordar el riesgo tradicionalmente las instituciones financieras Preguntas para que la junta plantee:
siguen el modelo de las tres líneas de defensa. La primera línea de
defensa, propietarios de producto y procesos, identifica y administra el
• ¿Cómo hemos estructurado el balancear la
riesgo. La segunda línea, frecuentemente ejecutada por las funciones de
necesidad de personas técnicas que puedan
riesgo y cumplimiento, proporciona la estructura de administración del
identificar los riesgos de tecnología con la
riesgo y la vigilancia independiente de la primera línea. La tercera línea,
necesidad de que sean independientes y
usualmente auditoría interna, proporciona a la junta y a la administración
objetivas?
senior aseguramiento independiente sobre la efectividad de las primeras
dos líneas de defensa.
• ¿Qué prácticas tenemos en funcionamiento
para monitorear los principales riesgos
Encontrar el modelo operacional correcto para permitir la administración
estratégicos en la tecnología?
efectiva del riesgo de tecnología ofrece retos. La función del riesgo puede
tener la experticia en administración del riesgo, pero carencia de
conocimiento sobre la tecnología que le permitiría ofrecer luces sólidas • ¿Cómo podemos impedir que la función de
sobre el entorno de TI. Inversamente, la función de TI tiene el administración del riesgo se desarrolle en
conocimiento de la tecnología, pero carece de la independencia necesaria una función de prueba del control?
para proporcionar un punto de vista no sesgado sobre el riesgo.
• ¿Hemos creado patrones para las posiciones
Considerando la importancia que hoy tiene el riesgo de tecnología, las de nivel de administración para quienes
organizaciones necesitan mejorar el desarrollo de habilidades y de sirven en nuestra función de administración
patrones de carrera en la administración del riesgo de tecnología. De del riesgo de tecnología?
hecho, la demostración de las habilidades tanto en tecnología como en
administración del riesgo podrían ser criterios adicionales para posiciones
de administración tales como el CIO o el CRO.
Los riesgos de la tecnología de la información en los servicios financieros: Lo que los miembros de junta necesitan saber – y hacer 11
Principales acciones que las juntas pueden
realizar para vigilar de mejor manera al
riesgo de TI
La junta puede dar una serie de pasos para mejorar su conocimiento de – y su visibilidad en – los riesgos de TI
que la institución enfrenta y los métodos que la administración usa para abordarlos. Las siguientes prácticas han
surgido de la experiencia e investigación de Deloitte, e incluyen enfoques y mecanismos para permitir que las
juntas de servicios financieros vigilen de mejor manera al riesgo de TI:
Los riesgos de la tecnología de la información en los servicios financieros: Lo que los miembros de junta necesitan saber – y hacer 12
riesgos emergentes, cultura de administración
del riesgo, inversiones en administración del
riesgo de TI, iniciativas de administración del
programa de TI, y patrón de carrera y
desarrollo del talento.
vigilancia, el comité
que no se debe esperar que la junta traduzca e
interprete la jerga de la tecnología. Establezca
una expectativa firme de que la administración
tiene que informar a la junta o a un comité de la
de riesgo de TI
junta sobre los riesgos, programas, y
problemas de TI de una manera clara, concisa.
stakeholders de que
requerimientos de cumplimiento. Considere
invitar a las reuniones de la junta
conferencistas, tales como funcionarios que
hacen forzoso el cumplimiento de la ley,
la organización
académicos, reguladores, consultores
administrativos, y expertos en tecnología. Los
expertos externos pueden ofrecer un punto de
vista independiente sobre el panorama del
riesgo de TI, así como también luces respecto
de lo que otras compañías están haciendo,
cómo la organización se compara con sus
establece una
pares, y dónde se pueden necesitar nuevas
9.
capacidades o inversiones.
riesgo de TI.
junta puede ganar un mayor entendimiento de
las capacidades reales de las instituciones,
comunicar cómo se comprometería en una
crisis, y evaluar sus propias capacidades para
ayudar a “mantener a flote el barco” en el caso
de un evento importante.
Una prioridad alta para las juntas de
instituciones financieras
En medio de todos los desafíos y riesgos a ser abordados, los ejecutivos senior
de servicios financieros pueden pasar por alto los riesgos de TI. Ellos viven
principalmente en el mundo del riesgo financiero y regulatorio y tienden a ver la
TI como un facilitador de las operaciones y al riesgo de TI principalmente en
términos de ataques cibernéticos y disponibilidad del sistema.
La junta puede ampliar ese punto de vista. Si bien primero tiene que ampliar su
propio punto de vista respecto del riesgo de TI, la junta puede comprometerse
inmediatamente en vigorizar el gobierno del riesgo de TI en la organización.
Estar cómodo en las conversaciones acerca del riesgo de TI puede llevar tiempo
para los directores que carecen de experiencia en TI. Aun así el sentido común
es una excelente guía así como también una herramienta para cortar a través de
la jerga. Las lecturas y resúmenes de expertos externos también pueden ayudar.
Sin embargo la junta va con ello, el gobierno y la vigilancia del riesgo de TI están
entre las responsabilidades clave relacionadas con el riesgo, tanto ahora como
en el futuro previsible.
Los riesgos de la tecnología de la información en los servicios financieros: Lo que los miembros de junta necesitan saber – y hacer 14
Los riesgos de la tecnología de la información en los servicios financieros: Lo que los miembros de junta necesitan saber – y hacer 15
Contactos
Adel Melek
Risk Advisory
Deloitte Touche Tohmatsu Limited
amelek@deloitte.ca
+1 416 601 6524
Deloitte se refiere a una o más de Deloitte Touche Tohmatsu Limites, una compañía privada del Reino Unido limitada por
garantía (“DTTL”), su red de firmas miembros, y sus entidades relacionadas. DTTL y cada una de sus firmas miembros son
entidades legalmente separadas e independientes. DTTL (también referida como “Deloitte Global”) no presta servicios a
clientes. Para una descripción más detallada de DTTL y sus firmas miembros por favor vea www.deloitte.com/about.
Deloitte presta servicios de auditoría, consultoría, asesoría financiera, administración del riesgo, impuestos y relacionados a
clientes públicos y privados que se expanden en múltiples industrias. Deloitte sirve a cuatro de cinco compañías de Fortune
Global 500® mediante una red conectada globalmente de firmas miembros en más de 150 países ofreciendo capacidades,
de clase mundial, conocimientos, y servicio de alta calidad para abordar los desafíos de negocio más complejos de los
clientes. Para conocer más acerca de cómo los aproximadamente 225,000 profesionales de Deloitte generan un impacto que
trasciende, por favor contáctenos en Facebook, LinkedIn, o Twitter.
Esta publicación solo contiene información general, y ninguno de Deloitte Touche Tohmatsu Limited, sus firmas miembro, o
sus entidades relacionadas (colectivamente, la “Red de Deloitte”), por medio de esta publicación, está prestando asesoría o
servicios profesionales. Antes de tomar cualquier decisión o realizar cualquier acción que pueda afectar sus finanzas o su
negocio, usted debe consultar a un asesor profesional calificado. Ninguna entidad de la Red de Deloitte será responsable por
cualquier pérdida tenida por cualquier persona que confíe en esta publicación.
Esta es una traducción al español de la versión oficial en inglés del Information technology
risks in financial services: What board members need to know – and do – 2016 –
http://www2.deloitte.com/global/en/pages/risk/articles/a-crisis-of-confidence.html -
Traducción realizada por Samuel A. Mantilla, asesor de investigación contable de Deloitte
&Touche Ltda., Colombia, con la revisión técnica de César Cheng, Socio Director General de
Deloitte & Touche Ltda., Colombia